<html>
<head>
<meta content="text/html; charset=windows-1252"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">On 3/1/15 11:34 PM, Eduardo Almeida
wrote:<br>
</div>
<blockquote cite="mid:54F3CC4F.9080701@web2solutions.com.br"
type="cite">O user autentica o client uma primeira vez e recebe um
token para as consecutivas requisições feita á API. Tokens
expiram. É lógico que você pode definir a vida útil deles de
acordo com sua necessidade.</blockquote>
Dá para se implementar coisas interessantes sobre os tokens.<br>
<br>
O token pode conter informações associadas que poderão ser usadas
para confrontar com informações obtidas sobre o cliente em cada
requisição.<br>
<br>
Por exemplo<br>
<br>
- você pode associar um 'user id' (geralmente eu envio, via
headers, o id do user que está chamando o end point)<br>
- você pode associar uma 'allowed origin' (e negar requisições
com esse token se feita de uma origem desconhecida)<br>
<br>
Enfim ... há uma série de coisas que poderão ser implementadas no
sentido de validar o acesso. é óbvio que há coisas que podem ser
burladas quando feita a requisição (mascarando), porém, pra burlar
isso, a pessoa precisa conhecer todo seu esquema de validação.<br>
<br>
<br>
<br>
<br>
<div class="moz-signature">-- <br>
Eduardo Almeida - Software Engineer<br>
<a class="moz-txt-link-abbreviated" href="mailto:eduardo@web2solutions.com.br">eduardo@web2solutions.com.br</a> - 27 3261-0082 / 27 9839 3755<br>
<br>
<b>WEB2 Solutions</b> - Inovando, sempre!
<br>
<img src="cid:part1.08090807.03010902@web2solutions.com.br"></div>
</body>
</html>